Читайте также:
|
|
Политика безопасности ИТ описывает в общих терминах, как информационная безопасность устанавливается в организации, для каких целей и с помощью каких ресурсов и структур. Она содержит желаемые цели безопасности ИТ и стратегию защиты ИТ, которой следует придерживаться. Политика безопасности ИТ поэтому также описывает желаемый уровень безопасности ИТ госучреждения или компании помимо целей защиты ИТ. Это и требования и утверждение, что такой уровень ИТ безопасности должен быть получен на всех уровнях организации.
Подготовка политики информационной безопасности происходит за несколько шагов:
• Ответственность руководства за политику информационной безопасности
Политика информационной безопасности регистрирует стратегическую позицию руководства и администрации, необходимую для достижения целей защиты ИТ в организации.
Так как политика безопасности ИТ предоставляет центральный документ стратегии безопасности ИТ в организации, она должна быть разработана таким образом, чтобы все структурные единицы в организации могли идентифицироваться с его содержанием. Поэтому как можно больше отделов должно быть вовлечено в процесс подготовки. Наконец, каждая организация должна окончательно решить, какие отделы и иерархические уровни будут вовлечены в процесс формулирования политики безопасности ИТ.
Когда готовится политика безопасности ИТ, целесообразно использовать экспертные оценки следующих структурных единиц организации: приложения ИТ, работа ИТ, безопасность (ИТ и инфраструктуры), персонал, совет персонала или наблюдательный совет, аудит, финансы, юридический отдел.
• Предусматривая границы (возможности)
Политика безопасности ИТ должна описывать отделы, к которым она относится. Границы могут включать всю организацию или ее части. Однако, важно, что рассматриваемые задачи и процессы бизнеса полностью включены в границы. Предусмотреть границы, особенно для больших организаций, не всегда тривиальная задача. Поэтому организация по областям ответственности может быть полезной.
• Содержание информационной политики безопасности
Политика безопасности ИТ должна быть сформулирована четко и кратко, т.к. больше 20 страниц не будут иметь успех на практике. Она должна содержать как минимум следующую информацию:
• Необходимость ИТ и защиты ИТ для выполнения работы;
• Связь целей безопасности ИТ и целей или задач организации;
• Цели безопасности и ключевые элементы стратегии безопасности использования ИТ;
• Гарантия, что политика безопасности ИТ внедряется руководством и ключевые положения об успешном контроле;
• Описание организационной структуры, выбранной для внедрения в процессе защиты ИТ (сравните S 2.193 Настройка соответствующей организационной структуры для безопасности ИТ);
К тому же, следующие утверждения могут быть добавлены:
• Для мотивации, для некоторых угроз, важных для бизнес-процессов, могут делаться наброски, и могут формулироваться наиболее важные нормативные положения и другие важные условия (такие как договорные соглашения);
• Должны приводиться основные задачи и ответственность в процессе защиты ИТ (особенно для команды управления безопасностью ИТ, сотрудников отдела безопасности ИТ, ИТ-пользователей и ИТ-администраторов). Дополнительно, могут приводиться контактные лица для решения проблем безопасности;
• Программы продвижения защиты ИТ через обучение и акции, поднимающие осознание необходимости защиты, также могут перечисляться.
Рисунок. Содержание политики информационной безопасности
• Создание команды, ответственной за разработку политики информационной безопасности
Если команда управления безопасностью ИТ уже существует в организации, то она должна быть ответственной за разработку и/или пересмотр и переработку политики информационной безопасности. Черновой вариант документа предоставляется на рассмотрение администрации и руководству, в указанном порядке для утверждения.
Если управление безопасностью ИТ устанавливается впервые, то команда разработки должна быть создана для составления политики информационной безопасности. Эта группа может взять на себя функцию Команды управления безопасностью ИТ во время процесса защиты ИТ. Для этой команды разработки желательно включить представителей ИТ-пользователей и операционной команды ИТ плюс одного или больше дополнительных сотрудников, кто уже обладает достаточными знаниями и опытом в делах безопасности ИТ. Хорошо было бы иногда вызывать членов руководства, которые способны оценить важность ИТ для учреждения/компании.
• Объявление политики информационной безопасности
Важно, что администрация и руководство подчеркивают свои цели и ожидания, публикуя политику безопасности ИТ и придавая особое значение и важность защите ИТ во всей организации. Поэтому, все сотрудники должны знать и понимать содержание политики безопасности ИТ. Политику безопасности ИТ следует объяснять новым сотрудникам до того как они получат доступ к ИТ.
Т.к. администрация или руководство несут основную ответственность за политику информационной безопасности, то политика должна быть изложена в письменном виде. Документ должен быть формально одобрен администрацией или руководством. Содержание политики безопасности ИТ должно быть известно не только в пределах организации, но также должно быль как можно более доступно, напр., по внутренней сети. Если она содержит конфиденциальную информацию, то она (конфиденциальная информация) должна располагаться в приложениях, которые помечена "конфиденциально".
Наконец, все сотрудники должны быть осведомлены о том, что от них ожидаются выполнение обязательств, сотрудничество и ответственное поведение не только в выполнении задач в целом, но относительно выполнения задач безопасности ИТ.
• Обновления политики информационной безопасности
Политики безопасности ИТ должна регулярно проверяться и обновляться. Например, следует рассматривать, изменились ли бизнес-цели, задачи и как следствие бизнес-процессы или ИТ-процедуры, изменялась ли организационная структура или не вводились ли новые ИТ-системы. Результатом быстрого развития ИТ, с одной стороны, и состоянием безопасности, с другой, полезно было бы пересматривать политику безопасности ИТ хотя бы каждые два года.
Выполненные действия:
• Получен запрос от руководства на разработку политики безопасности ИТ;
• Оговорена границы;
• Создание группы для разработки политики безопасности ИТ;
• Одобрение руководством политики безопасности ИТ;
• Публикация политики безопасности ИТ;
• Постоянные проверки и при необходимости обновления политики безопасности ИТ.
Дата добавления: 2015-11-14; просмотров: 52 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Формулировка общих целей безопасности ИТ | | | Установка организации безопасности ИТ |